ArcSight ESM イベントの取り込み統合の相関イベントフィールドをマッピングする
リストから特定の相関イベントルールを特定したら、次のステップでは、相関イベントフィールドをセキュリティインシデントフォームのフィールドにマップします。
概要
マッピングステップでは、選択した相関ルールのサンプル相関イベントを取り込むことができます。このマッピングフェーズで、関連するすべての相関イベントフィールドデータが、SIR インシデントフォームの適切な場所にマッピングされていることを確認して、SIR インシデントをプレビューセクションで可視化できます。
[イベントを取得] をクリックすると、相関イベントフィールドの名前と対応する値がフォームの左側に入力されます。これらは、セキュリティインシデントフィールドにマップ可能な ArcSight ESM 相関イベントフィールドです。
コンソールでいくつかのサンプル相関イベントを確認して、フィールドマッピング構成ステップに取り込むこともできます。このステップは、進捗状況バーで [マッピング] とラベル付けされます。このページが表示されない場合は、進捗状況バーの [マッピング] をクリックします。選択した相関ルールについて ArcSight ESM Manager から最大 5 つのサンプル相関イベントを取り込んで、フィールドマッピングプロセスを支援できます。選択した相関イベントの最新の 5 つの相関イベントを取り込むか、イベント ID に基づいて最大 5 つの特定の相関イベントを取り込むかのオプションがあります。
- フィールドマッピング:左側から相関イベントフィールドをドラッグして、右側の SIR インシデントマッピングセクションにドロップし、マッピング構成を編集します。右側のマッピングで、受信する相関イベントフィールドを送信セキュリティインシデントフィールドに関連付けることができます
- マッピングエクスペリエンス:[SIR インシデントフィールドマッピング] セクションの下部にある [+] アイコンを使用してフィールドを追加または削除し、マッピンググリッドをカスタマイズします。提供されている色分け (マップされたフィールドはグレー表示され、ブルーのフィールドはマップされていません) を使用して、見落とされているフィールドや以前マップされたフィールドを追跡します。
- インシデント生成条件:マッピングセクションが完了すると、フィルター条件を定義して、どの相関イベントがセキュリティインシデントを作成し、どの相関イベントがフィルタリングで除外されるか (低優先度の相関イベントなど) をフィルターできるようになります。これは、[相関イベントサンプルの取り込み] セクションの下にある [インシデント生成条件] セクションで行います。
- イベント集計基準:類似の重複する可能性があるインシデントを作成するのではなく、既存の SIR セキュリティインシデントに受信相関イベントを集計する追加のイベント集計基準を定義します。この追加の集計機能では、各プロファイルのフィールド一致値基準を使用して、関連するすべてのセキュリティ注目イベントデータを単一のセキュリティインシデントに配置することで、アクティブな重複するセキュリティインシデントの数を減らすことができます。
- フォーマットフィールド変換:場合によっては、 ArcSight ESM 相関イベントのイベントフィールド値が SIR セキュリティインシデントのフィールドに直接変換されないことがあります。これらの値については、マッピングステップでスクリプトエディターを使用してセキュリティインシデントのフィールド値をフォーマットできます。類似しているが同一ではない値をフォーマットする場合は、スクリプトエディターを使用します。
たとえば、スクリプトエディターを使用すると、 [マルウェアアラート] と [ウイルス感染]のカテゴリ値でソースカテゴリのフィールド値が異なる可能性がありますが、フォーマットフィールド変換機能を使用して、SIR セキュリティインシデントの [カテゴリ] フィールドで両方の値を一般的な悪意のあるコードアクティビティに変換することができます。
次のステップでは、サンプル相関イベントを取り込み、値を SIR セキュリティインシデントフィールドにマップします。